Zunächst einmal tut es mir leid, wenn dies schon oft diskutiert wurde. Ich habe viele Beiträge über PCI-Konformität gelesen, aber es gibt einige kleine Dinge, bei denen ich mir nicht ganz sicher bin.
Angenommen, es gibt Mr. GoodGuy, einen ehrlichen Softwareentwickler. Er entwickelt die Hauptsoftwarearchitektur, und das Unternehmen vertraut ihm und bietet den Zugriff, den er zumutbar benötigt. Diese Software speichert Kreditkartennummern für die Verwaltung wiederkehrender Zahlungen, und die Software verwendet ein Kreditkarten-Gateway, um den Verlängerungsbetrag zu belasten.
Mr. GoodGuy könnte einen Code schreiben, der die Karte für einen Benutzer entschlüsselt, unabhängig von der Sicherheitsstufe der Software (Verschlüsselungsschlüssel an einem gesicherten Serverstandort, Schlüssel pro Benutzer oder irgendetwas), der Software selbst kann die Kartendaten irgendwie entschlüsseln. Das heißt, obwohl der Entwickler ehrlich ist, kann er auf Kartendaten zugreifen.
- Welche möglichen Lösungen haben andere Unternehmen implementiert, die verhindern, dass jemand mit der Software auf Kartendetails zugreift?
Hier geht es nicht wirklich um Kartendetails . Es kann sich um Online-Dateispeicherdienste, medizinische Daten oder ähnliches handeln. Wie kann ein Entwickler sicherstellen, dass er nicht wie gewünscht auf die Daten zugreifen kann, aber es der Software ermöglichen, auf sie zuzugreifen (ohne Benutzerbeteiligung)?
PS: Ich bin Mr. GoodGuy hier und ich habe nicht die Absicht, etwas Schlechtes zu tun. Ich frage mich, wie andere Unternehmen damit umgehen. Vertrauen sie den Entwicklern? Auch wenn er zurücktritt, kann er die Schlüsseldatei mitnehmen. Das Löschen aller gespeicherten Karten ist auch hier keine Option, da dadurch viele vorhandene Verkäufe abgeworfen werden können.